电力系统安全防护方案范文

时间:2023-12-19 17:46:13

导语:如何才能写好一篇电力系统安全防护方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电力系统安全防护方案

篇1

关键词:电力系统;信息安全;防护措施

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01

Power System Information Security Protection Measures Research

Chnag Dongliang,Dong Hongjuan

(Tongchuan Power Supply Bureau,Tongchuan 727031,China)

Abstract:With the power system and the Internet become more closely linked,the power system faces major challenges of information security.In this paper,the whole power system of information security measures,focusing on the firewalls,message encryption,authentication,security,auditing,and data backup and disaster recovery protection technology,and information security measures in the future development trends are analyzed.

Keywords:Power system;Information security;Protection measures

一、引言

随着电力自动化水平的不断提高及计算机技术的进步,电力系统与电力数据信息网络的联系也愈加密切。但同时,电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,进而影响电网的可靠供电,以致影响到人民群众的日常生活。因此,电力系统信息安全己成为一项涉及电网调度自动化、继电保护及安全装置、电力负荷控制等有关生产、经营和管理方面的多领域、复杂的大型系统工程[1,2]。由此可见,对电力系统信息安全防护措施进行研究就显得很有必要。

二、信息安全防护措施

(一)安全防护体系的建立

电力信息系统由于其本身的特殊性和重要性,建立一个合理有效的安全防护体系有着十分重要的意义。显然,传统的对系统进行风险分析,制定相应的安全策略,采取安全技术作为防护措施的安全防护方法已经不能满足当前电力系统的要求。这是因为该安全方案对系统正确的设置和完善的防御手段依赖程度高,并且在很大程度上针对固定的威胁,是一种被动式的静态的防御体系。而实际上在电力信息系统中,除了有静态、非实时数据外,还有动态的、实时的生产控制数据。因此,电力系统信息的安全防护体系也应该是一个动态的、全方位的过程。这就需要建立一个动态安全体系模型,要充分考虑风险分析、安全策略、防御系统、实时监控、应急响应、灾难备份等各个方面,并且考虑到各个部分之间的动态关系与依赖性[3]。

(二)各种防护技术的运用

1.防火墙。防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。电力系统中,防火墙可对生产控制、行政管理、市场营销等系统之间信息的整合、共享与调用在不同网段之间进行过滤和控制,不允许有绕过防火墙的行为发生,同时阻断攻击破坏行为,分权限合理享用信息资源[4]。当然,合理地配置防火墙,证网络之间的连接安全,不会在连接端口出现安全漏洞也是确保电力系统信息安全的重要任务。

2.信息加密。信息加密技术是利用数学或物理手段,对电子信息在传输过程中核存储体内进行保护,以防止泄露的技术。信息加密包括两方面的要求,一个是对数据保密性要求,使未经授权的非法访问即使得到数据也难以解密;另一个是对通信保密性要求,防止用户通信数据篡改、通信数据插入、通信数据重用等非法操作[5]。常用的加密技术有对称密码技术(如DES算法)、非对称密钥技术(又称公开密钥技术,如RAS算法)以及二者的混合使用。

3.身份认证。在网络中为了确保安全,必须使特定的网络资源授权给特定的用户使用,同时使得非法用户无法访问高于其权限的相关网络资源。这种为主机或最终用户建立身份的主要技术就是身份认证技术。在实际认证过程中,可采取如口令、密钥、智能卡或指纹等方法来验证主体的身份[6]。常用的身份认证机制主要有基于CA(Certificate Authority,授权证书)的身份认证机制和基于DCE/Kerberos的身份认证机制。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等多方面应用。市场交易各方的身份确认、物流控制、财务结算、实时数据交换,均需要权威、安全的身份认证系统[7]。因此,建立全国和网、省公司的认证授权机构,提供目录服务、身份管理、认证管理、访问管理等功能,实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理是极为重要的。

4.安全审计。信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。随着电力信息系统规模的不断扩大与安全设施的不断完善,需要引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备行为、操作系统运行行为、数据库访问行为、业务应用系统运行行为等统一进行安全审计,及时自动分析系统安全事件,实现系统安全管理。

三、结论

本文从安全防护体系的建立、各种防护技术的运用和信息安全管理三个方面对电力信息安全防护措施进行了综述,并提出了具有综合功能的物理隔离产品的开发、电力系统建设的完善、安全防护技术的自主研发、信息安全管理体制的健全等防护措施发展趋势。

参考文献:

[1]李治.电力系统信息安全关键技术的研究[D].武汉:武汉大学电力电子及电力传动,2004

[2]董绍辉.电力企业信息安全体系的设计与应用[D].西安:电子科技大学软件工程,2010

[3]冯剑红,谢汶.电力信息安全体系结构研究及安全策略[J].四川电力技术,2006,29(3):59-62

[4]王建勇.电力系统信息安全研究[J].应用科学,2008,6(20):101

[5]张小飞,朱洁.电力信息安全探讨[J].计算机安全,2009,4:89-93

篇2

关键词: 电力二次系统 安全防护 具体措施

中图分类号: F406 文献标识码: A 文章编号:电力行业信息化技术的逐步提高,使得内部信息网具备跨地区、全行业覆盖的功能更突出。电力行业信息技术的进步,是计算机网络成为加入电网调度机构后发挥的重大作用。以目前的发展趋势,电力行业对网络的依赖性越来越大,为杜绝网络共计的危险,电力二次系统被提高到重要层面,已经成为有效抵制各种形式网络攻击的基本保障。

1.二次系统安全防护现状

近年来随着电力行业二次系统安全防护项目的发展,信息化应用日趋增强,电力网络安全问题也变得更为重要。目前电力安全系统涉及到发电行业各个环节,我国现实现了国调、网调、省调和县调五级。发电厂生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电网规模不停扩充,自动化系统需求增大,完善电力二次系统安全成为了必须。

1.1 系统硬件平台现状

EMS系统硬件平台是十分成熟的电网管理平台,它不仅负担着电网实时监测、控制、处理、SOE等任务,而且有电压无功优化管理、状态分析、负荷预测、调度员潮流分析等功能,还成为DMIS系统整合的有力支撑。火电厂的DCS、NCS、或ECS监控系统通过SIS系统与调度EMS系统相连,火力发电厂的AGC、AVC则直接与调度EMS系统相连,参与有功无功的远程控制。对于厂内二次系统,除了做好备份和计算机管理方面的工作外,更重要的是运用防病毒软件作为日常安全保障的重要手段,那么专用于电力系统的病毒升级服务器配备就显得尤为重要,渐渐被提上日程。

1.2 系统软件平台现状

系统软件平台EMS系统是功能一体化的系统,其网络结构是以总线连接两层交换机的构架,负荷很重,交换流量也过大,很易形成数据通信问题,甚至出现主程序会自主关闭现象。火电厂内部监控系统则通过标准协议(TCP/IP)全封闭系统,应杜绝外部访问。

2. 二次防护系统加固措施实践

采用自加固和专业安全加固两种形式对电力系统进行加固,能够对电力系统日常维护和专业评估后的漏洞起到修补的安全加固作用。

2.1 基于数据单向迁移的横向隔离措施

按照“安全分区、网络专用、横向隔离、纵向认证”原则,EMS系统基于LINUX操作系统服务器单向迁移数据镜像于Web服务器生成页面,给信息管理大区的业务用户使用。

Linux系统可实现对个体文件、任务进行加密处理,更加可靠。可是Web服务器在身份认证和权限管理方面无有效措施,Linux系统中的SAMBA服务使Web服务器在直接面向与INTERNET互联的MIS网络时,给HACKER攻击和病毒入侵提供了侵入机会。有效结合软硬件的安全隔离措施应被广泛使用,才能在共享网络数据时对侵入的非法信息进行阻断。

2.2 基于认证加密技术的纵向防护措施

采用IP认证加密装置间的相互认证来实现安全Ⅰ/Ⅱ区内部的纵向通信过程。有如下方面:IP认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网关工作方式;具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有NAT功能。

2.3 系统的网络访问控制措施

网络各节点全面控制措施可以从五个方面来实现:

(1)强化口令管理:如果设置的口令较易被破解就需要加强口令管理控制。因为EMS系统口令若被人盗用,会对电力二次系统和电网的安全运行形成危害,后果不堪设想。

(2)禁用不必要服务:诸如Finger、BootpServer、ProxyArp等出场缺省服务,在路由器上,对于SNMP、DHCP以及Web不必须的管理服务等能关闭的就关闭。

(3)禁用远程访问:远程访问控制计算机必然泄露系统信息,在链接过程中难免有病毒侵入系统,所以应完全避免。

(4)控制流量有限进入网络:路由器通常会成为DOS攻击的目标,没有IP地址的包,一切外来的和仿冒内部的包都不要随意下载、打开使用。此外,用户还可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。

2.4 数据库管理与安全审计措施

数据库管理要着重EMS系统管理,其数据资源受到设备物理防护,而无法避免人为因素破坏。因而用户应该采取必要措施加以防范。比如明确系统维护人员、调度操作人员、设备巡视人员职责权限,实现口令管理,同时在系统中用LOG.TXT记录人员访问操作信息。严格口令管理制度,严禁无关人员使用工作人员口令、权限,并健全相关处罚措施。

2.5 防病毒措施

防病毒措施的关键就是防病毒软件的使用。专业病毒软件的使用和定期更新是防范的重点,而因为更新需要插入的移动设备必须要率先排除染毒可能。也就需要固定的专门的病毒升级服务器,它可设立在安全III区,采用LINUX系统平台,加装防毒软件,成为独立的病毒升级机,先用本机杀毒而后经过物理隔离设备供给总线结构连接的EMS网络各设备,来实现系统设备病毒库的安全升级。

此外,EMS提供的I/O设备是一大隐患,能封存该设备就要加以封存,防范因此造成的系统崩溃等故障。

2.6 制度管理措施

严格专人负责制,成立专门的安全防护领导小组和监督工作组,负责本单位二次系统安全防护的组织管理和具体工作。做好重要应用系统软件、数据的备份,确保在数据损坏、系统崩溃情况下快速恢复数据与系统。有专人查看IDS入侵检测系统运行日志,及时处理网络异常。

2.7 其它加固措施

程序安全措施、安全细化评估、数据的备份和恢复、入侵检测 IDS等手段都可作为加固措施进行配置。

结束语:

计算机网络的安全是和电力生产安全连为一体的,只有运用健全的网络安全管理技术和完备的管理方法,加强日常管理监督,不断应用新技术对电力安全系统进行更新,才能成为电力行业安全防护最好的保障。

参考文献:

篇3

关键词:电力信息系统:安全防范;措施

中图分类号:F407.61 文献标识码:A 文章编号:

前言

随着近年来自然灾害的发生,在我国极大地破坏了国家电网公司的属下电网,造成多个地方发生大面积停电事故。电力信息系统如不能正常工作(如技术故障、遭受人为破坏、遇到自然灾害等),也将危及电网的安全运行。研究电力信息安全问题,开发相应的应用系统,设计出系统的安全防护方案,制定电力信息系统遭受外部攻击时的防范措施以及系统恢复措施等,进行信息安全应急预案是非常重要的。

1 电力信息安全存在的问题

国家电网已经构建了一个较完善的电力信息系统,并初步建立了电力信息系统的安全体系,实现了电力信息网络和电力运行实时控制网络的隔离,在网络间设置了防火墙,购买了网络防病毒软件,设有数据备份设备。但仍有很多单位没有网络防火墙,没有数据备份的观念,更没有对网络安全做统一长远的规划,信息网络中尚存在许多风险和问题。

(1)对计算机及信息网络的安全意识亟待提高。近年来计算机信息安全策略和技术取得了非常大的进展,但在电力系统各种计算机应用中,对信息安全的认识跟实际需要差距较大,对新出现的信息安全问题认识不足。

(2)缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视,但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

(3)缺乏与电力行业特点相适应的计算机信息安全体系。近年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、安全措施、安全体系建设方面投入相对较少。

(4)计算机网络化必须面对外部的安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者确保内部人员的安全控制。在连成广域网后,就必须要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。

(5)脆弱的身份认证。电力行业中计算机应用系统基本上基于商用软硬件系统设计和开发,用户身份认证基本上采用基于口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中。如今,这种脆弱的安全控制措施已不能再用了。

(6)没有完善的数据备份措施。目前,很多单位仅选择一台工作站备份一下数据,没有完善的数据备份设备,没有数据备份策略,没有数据备份的管理制度,没有对数据备份介质的妥善保管。

2 电力信息安全的防护措施

鉴于电力信息安全的重要性,国家电网公司及其属下各单位应制定一系列相关的防护措施,以保证电力信息系统的安全。

2.1建立电力信息安全体系的防护框架

应结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况,建立电力信息安全体系的防护框架(见图1)按照信息业务功能,电力信息系统可以划分为3层:第一层为自动化系统;第二层为生产管理系统;第三层为电力信息管理系统。针对电力信息业务的这种层次结构,电力信息安全体系的防护框架采用分层、分区进行防护。①进行分层管理,按照电力信息业务的3层功能,层间使用隔离装置实施网络间隔离。② 进行分区管理,将电力信息业务的3层功能与电力信息网结构对应起来,具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区4个区。各区之间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。

2.2采用各种安全防护技术措施

(1)信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术,如RAS算法)。

(2)信息确认和网络控制技术。当前,成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙技术,这些技术都是基于计算机网络开展的,涉及业务信息安全的主要技术,应根据电力企业业务系统的性质、任务,制定最优控制策略。

(3)计算机网络防病毒技术。计算机病毒已经向网络化、多态化、灾难化发展,应在省公司及区域电网建立计算机防病毒网络中心,实施网络化管理。

(4)防“黑客”攻击技术。“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按照计算机应用环境及业务重要程度,制定相应的防“黑客”攻击措施,重点是要检测系统信息安全漏洞予以及时解决。对特别重要的系统(如电力实时运行控制系统)应采用物理隔离措施。

(5)数据备份与灾难恢复技术。采用多种备份措施,按重要程度确定数据备份等级,配置数据备份措施,建立省级和区域数据备份中心,采用先进灾难恢复技术,保证信息系统可靠性和数据完备性。

2.3加强各种安全防护管理措施

(1)人员管理。要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网络机密泄露,尤其要防范人员调离时的网络机密泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。

(2)密码管理。对各类密码要妥善管理,杜绝默认密码、出厂密码、无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。

(3)技术管理。主要是指各种网络设备、网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据管理。数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。

(5)安全管理。建立电力系统信息安全各种标准、规范与制度。在安全组织,运行操作管理、场地与设施管理、操作系统与数据库、应用系统等方面进行安全管理。

2.4 建立完备的电力信息系统监控中心

为保证电力系统信息安全,建立一个综合、统一的信息安全监控中心是十分必要的。该监控中心设在各级信息网管中心,将各项信息安全应用技术有机进行整合,无论出现什么可能影响信息安全问题,均可尽快解决。对可能出现的异常或故障,按监视系统所提供信息,及时提出预防措施,消除可能发生问题的条件,防止发生系统异常或故障。

2.5 制订必要的应急措施

可根据国内外发生过的网络信息安全的案例,结合国家电网信息系统当前运行状态和可能存在的问题,设计安全应急措施,部署安全应对机制,奠定紧急控制的基础。一旦发生电力信息安全事件,可根据预防控制设定的安全应急措施,立即启动相应的安全机制,减小安全事件的波及范围,避免造成更大的损失。国家电网的黑启动方案就是一个很好的例子。

3 结束语

电力信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息的不安全,会造成电力系统的生产经营和管理巨大的损失。各电力企业应积极吸收国外信息安全领域的丰富经验和先进技术,结合各自电网的特点,建立完善的电力信息安全防护体系和监控中心,研究出相应的安全策略,制定相关的技术措施和管理措施,确保电力信息系统以及电力系统安全、可靠、稳定、高效的运行。

参考文献:

[1] 牛慧斌,李骏仁.企业内部网络信息安全与防御对策分析[J].网络通信与安全,2007(2):338―339.

篇4

关键词:电力信息,安全技术,防护措施

Abstract: with the development of network technology in information sharing and cooperation for the network technology obtained the rapid development, this article mainly expounds the power of information security concepts and information security of these existing problems, and puts forward the corresponding prevention measures and countermeasures to ensure the safety of electric power information.

Key words: electric power information, safety technology, protective measures

中图分类号:F407文献标识码: A 文章编号:

1、概述

电力系统作为基础公共事业之一,确保其信息安全运行是整个电力系统正常运行的基础。电力信息安全防护工作主要由以下两个部分组成。

1.1、是电力信息流结构。要想确保电力信息的安全防护工作到位就需要正确地认识电力信息流的结构。电力系统的安全可靠运行要求电力信息的安全传递。电力信息尤其是实时监控信息是电力信息安全防护工作的重中之重,除此之外电力生产信息、营销信息、资源信息也是其重要内容。

1.2、电力信息安全防护结构。电力信息系统根据信息功能可以分为三层,即自动化系统、生产管理系统以及电力信息管理系统。在这样的框架下,我国电力企业从安全技术、安全管理以及安全策略入手进行了电力信息安全防护工作,采取了必要的安全措施,例如防火墙、防病毒系统和一些备份系统等等,但总体而言大都属于局部防护措施,并未达到高水平防御阶段。

2、电力信息系统及其受到的主要威胁

信息系统是指以计算机以及通信网络作为基础,对数据进行采集、存储、处理、分析及传输控制的一个信息应用系统。根据应用范围的不同,可以将电力信息系统分为这样三种:

2.1、行政管理系统

作为电力信息系统内部的日常管理,典型的行政管理系统主要包括:人事管理系统、财务管理系统办公自动化系统以及物资管理系统等。行政管理系统的信息比较开放,使用人员较为复杂,尤其是当前移动存储设备较为普及,且其中所带的病毒较多,对行政管理信息系统的安全性造成极为重要负面影响。行政管理系统主要采用Windows、Liunix等多种操作系统,系统的漏洞较多,不及时的打补丁将导致真个系统的瘫痪。

2.2、市场营销系统

市场营销系统是整个电力系统实现利益的关键环节。作为联系供电企业、电力物资供应商以及电力用户之间的纽带,在电力系统的运行中发挥着最为重要的作用。尤其是随着电力系统市场化的不断深入,电力信息系统的市场营销系统逐渐有更加开放的趋势,这也导致威胁呈现出攻击多样化的态势,将受到从网络、应用程序以及系统程序等多个方面的威胁。

2.3、电力生产与控制系统

该系统直接与电力生产相关,主要包括:变电站自动化分配系统、配电网络自动系统、微机防护及安全自动装置和电厂监控系统等。这些系统对于可靠性与可实时控制性能的要求极高,整个系统的通信是通过电力调度通信专网实现的。当前的电力生产和控制已经发展到了就地控制向集成控制拓展的阶段。为了提高系统的可靠性与可控制性,虽然采取了有效的防电磁干扰与冗余技术,但是在信息通信过程中的高频与微波通信链路之上依然存在篡改、窃听已经重放等形式的网络威胁。这对于电力生产与控制系统中信息的完整性、准确性以及真实性产生了重要影响。同时,在控制系统中由于工作人员使用的

笔记本电脑中可能带有病毒,或者是携带有恶意竞争对手所植入的蠕虫、逻辑炸弹等破坏性代码,对控制系统造成极大的威胁。

3、电力信息安全防护工作存在的问题

虽然我国电力企业已经构建起了比较完善的电力信息系统并逐步建立电力信息防护工作体系,购买了网络防病毒软件并在网络间设置了防火墙甚至还设有数据备份设备,但是总体而言我国电力信息安全防护工作还存在一些问题,主要表现在以下几个方面。

3.1、目前电力信息安全防护工作往往选择一台工作站备份数据,没有建立完善的数据备份系统,也没有相应的数据备份的管理制度。第五,身份认证制度薄弱。计算机在电力信息系统中的应用基于商用软硬件系统,用户身份认证基本上采用口令鉴别模式,甚至还将用户名、口令等安全信息记录在数据库或者文件当中。

3.2、近年来计算机在电力系统的生产经营等方面应用日益广泛,但是与之相对应的安全策略、安全技术以及安全体系建设投入较少。

3.3、虽然我国政府与电力企业开始认识到信息安全防护工作的意义,但迄今为止尚未出台能够指导整个电力信息安全防护工作的管理规范。

3.4、近年来计算机信息技术及其在电力自动化中的应用取得了长足的进展,但在相关工作人员对电力信息安全防护工作的认识与实际情况差距较大,对新出现的信息安全问题认识不足。

4、电力信息安全的防护技术措施

4.1、电力信息安全防护工作的管理措施

第一,安全意识以及相关技能的教育是电力信息安全防护工作的重要内容,其实旖力度关系到电力信息安全的技术措施的执行程度。为了确保电力信息系统安全防护工作的有消息,各级管理人员以及技术人员应当定期进行安全培训,了解电力信息安全防护工作的重要意义,掌握电力信息安全防护工作的整体策略的技术措施。

4.2、抓好技术管理工作,主要指的是对各种网络设备、网络安全设备的安全策略。

4.3、,在电力信息安全防护工作中要对各类密码进行妥善管理,禁止管理人员设置默认密码甚至不使用密码,也不能使用简单而容易被破解的密码。除此之外,密码还应当及时更新,一旦有人员调动时密码一定要立刻更新。

4.4、要想确保电力信息安全防护工作的效果就应当保证管理人员的相对稳定性,防止网路机密的泄露,尤其是在人员调动的过程中。对电力信息安全防护系统中的服务器、网络设备以及存储设备的操作都需要履行签字许可制度以及操作监护制度,减免操作人员的误修改甚至非法操作。

5、电力信息安全防护工作的技术措施

5.1、入侵检测系统是针对黑客攻击而设置的安全产品,分布式入侵检测系统能够全天候实施监控,提供有效的安全检测,为电力信息安全防护工作提供有力保障。入侵检测系统采用攻击防卫技术,有着强大的功能和友好的管理机制,能够有效防止各种类型的攻击并针对入侵启动相应的动作。管理人员能够在网络中的多个位置对入侵检测系统进行监控和管理。

5.2、防火墙是局域网到外网的出口,所有的访问都需要通过防火墙,不能允许绕过防火墙的连接。要想做好电力信息安全防护工作就需要正确地设置防火墙的访问策略,拒绝除明确许可外的任何服务,即拒绝一切未予许可的服务。

5.3、要想保护电力信息系统免受病毒侵害就需要构建从主机到服务器的防病毒体系。在网络防病毒系统中安装杀毒软件的服务器程序,以服务器作为系统的核心,通过派发的形式对整个电力信息系统进行杀毒,服务器可以通过在线升级从免疫中心实时获取最新的病毒信息并对发现的病毒采取相应措施进行清除。客户端应当采用登录网络自动安装方式,确保电力信息系统内联网的计算机都安装并启动病毒防火墙。

5.4、对于电力信息系统而言,数据备份是必不可少的环节,因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。

6、结束语

总而言之,电力信息安全的防护工作是电力系统正常运行以保障供电的基础,建立健全电力信息安全防护,确保电力系统安全可靠供电,满足人民日常生活以及社会生产的需求。

参考文献:

[1J王保义.电力信息系统信息安全关键技术的研究【DJ.华北电力大学(保定),2009,0

篇5

【关键词】电力;二次系统;安全防护;策略

作者简介:赵延涛(1975-),男,山东东阿人,技师,主要研究方向:电力系统调度自动化

伴随我国社会经济发展进程的发展,电力系统自动化技术水平也逐渐提高。在电力系统正常运行工作中,电力二次系统安全防护工作,仍然存在发生故障的因素。随着电力系统技术应用的发展,电力二次系统安全防护策略探究,为解决电力二次系统安全工作提供了有效办法。在实际工作中,重视电力二次系统安全防护策略探究的工作,有利于进一步提高电力二次系统运行的安全性。因此,结合电力二次系统安全防护工作的现状,探究其安全防护策略非常关键。

1进行电力二次系统安全防护工作的重要性

近几年,随着我国计算机技术、网络技术以及通信技术的快速发展,电力系统的自动化、智能化水平也逐渐提高。根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生,进一步建立电力二次系统安全防护体系,用以保障电力系统的安全稳定运行,促进社会经济的发展。电网的安全运行,对电力二次系统安全防护也提出了更高的要求和标准。电力二次系统安全运行,对发展和完善涉及到的各系统资源的优化与整合,也具有重要的意义。如何确保电力二次系统安全运行,与电网的安全密切相关,也是电力企业发展中必须重视的问题。同时,电力二次系统安全防护水平,也是保证二次系统信息安全的重要保障。电力二次系统安全防护策略探究,成为电力企业发展规划中的关键问题。因此,在实际工作中,电力企业的有关部门,应综合电力系统运行的实际情况,积极的探究电力二次系统安全防护策略,更好的促进电力二次系统安全防护工作顺利的开展,为保障社会经济的发展及提高人们生活质量,作出积极的贡献。

2电力系统安全防护存在的问题

在实际工作中,为了有效的提高电力二次系统安全防护水平,结合电力二次系统安全运行工作的现状,针对其存在的安全防护问题进行深入的分析,并积极的引进先进的技术,才能从根本上确保电力二次系统安全防护工作不存在严重的安全隐患问题。当前,电力二次系统安全防护工作中,主要表现在操作系统和网络防护方法单一、系统的装配、调试、维修过度以来厂家、电力系统内防水平低于外防水平等几个方面。

2.1操作系统和网络防护方法单一

我们都知道,当前我国的电力系统安全措施,主要是从防火墙与网闸两个方面入手,通过对系统进行预先设定的方式,进行电力系统参数匹配,进而达到有效控制网络信息流向和信息包。但是这种防护方式,不能完全确保电力系统的网络安全性。加之,现今的网络信息防护技术的更新落后于黑客攻击的形式,在系统操作系统和网络防护方法相对单一的前提下,直接导致电力二次系统安全运行工作存在极大的风险。

2.2系统的装配、调试、维修过度依赖厂家

在电力二次系统安全运行工作中,由于系统的装配、调试、维修过度依赖厂家的帮助,致使电力企业部分的相关技术人员缺乏一定的操作技术。在此前提下,当电力系统的装配、调试、维修发生问题的时候,相关技术人员无法在第一时间采取有效的措施解决问题,而是会错过最佳的解决问题时间,等待厂家派来技术人员进行维修或解决问题。系统的装配、调试、维修过度依赖厂家,对于完善电力二次系统安全运行工作产生了极大的不利影响,也无法确保电力二次系统安全运行状态。2.3电力系统内防水平低于外防水平电力系统内防水平低于外防水平,也是电力系统安全防护中存在的问题之一。在电力系统的运行中,各种类型的网络安全装置大多都是限制外部网络信息安全的。相对而言,企业的电力系统内部遭受攻击,而无法得到有效的解决。电力系统内防水平低于外防水平,已经逐渐影响了电力二次系统安全运行工作,并对提高电力二次系统安全运行水平造成了一定的负面影响。因此,为了确保电力二次系统安全运行工作,重视电力系统内防水平低于外防水平这一问题非常重要。

3电力二次系统安全防护策略

目前,为了有效的确保电力二次系统安全防护工作的顺利进行,有关部门已经根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生问题,进一步建立电力二次系统安全防护体系,用以保障电力系统的安全稳定运行,促进社会经济的发展。在实际工作中,结合电力系统的运行工作问题,深入探究电力二次系统安全防护策略,不断完善电力二次系统安全防护措施,对于保障社会经济的发展,具有重要的现实意义。针对电力二次系统安全防护方面存在的问题,我们从加装入侵检测或防护系统,完善二次系统网络安全、加强系统的网络防病毒体以及重视系统的备份工作这三个方面进行。

3.1加装入侵检测或防护系统,完善二次系统网络安全

在电力二次系统安全防护策略探究工作中发现,加装入侵检测或防护系统,完善二次系统网络安全,是其中相对有效的策略之一。在电力二次系统运行中,通过加装入侵检测或防护系统,可以在解决网络信息安全问题的同时,确保电力二次系统安全运行,不断加强电力系统安全防护的水平。加装入侵检测或防护系统,完善二次系统网络安全,将成为电力二次系统安全防护工作中重要的工作方式。因此,在电力系统的运行过程中,技术人员应充分重视加装入侵检测或防护系统,完善二次系统网络安全这一发展策略。

3.2加强系统的网络防病毒体系

为了尽快的完善电力二次系统安全防护工作,加强系统的网络防病毒体系,是目前刻不容缓的工作内容之一。电力企业通过加强系统的网络防病毒体系,控制电力二次系统运行中存在的各种问题,并通过技术分析的方式,得出了有关的控制数据指标,使之可以作为研究电力二次系统安全防护措施的依据。加强系统的网络防病毒体系,是电力二次系统安全防护工作的必然要求。因此,在电力二次系统安全防护工作中,应重点加强系统的网络防病毒体系,确保电力二次系统安全防护工作,可以有效的开展下去。

3.3重视系统的备份工作

在电力二次系统安全防护工作中,重视系统的备份工作,更多的是为了确保电力系统中关键应用及其数据的准确性及完整性,避免由于发生网络黑客攻击,给企业的正常工作造成严重的不利影响。通常情况下,备份数据的方式,关系着数据和系统内的数据及零部件的安全,也是系统数据及系统遭到攻击后,快速恢复数据的重要方式之一。由于备份数据的方式不同,电力系统可以选择用不同的介质进行数据备份,增加备份数据还原的几率。因此,在电力二次系统安全防护工作中,重视系统的备份工作,防患于未然非常重要。

4结语

综上所述,电力二次系统安全防护工作,为我国实现电力系统全面智能发展的奠定了基础。电力二次系统安全防护工作,有效的促进了电力系统的稳步运行。结合我国电力企业的发展状况以及电力二次系统安全防护工作,积极的探究电力二次系统安全防护策略,确保电力系统工作的便捷性、稳定性以及安全性,是电力企业未来发展的目标。因此,在实际工作中,相关工作人员应积极的探究电力技术,不断的提高电力二次系统安全防护水平,促进社会经济的快速发展。

参考文献

[1]王朝琴.电力调度自动化二次系统安全防护研究[J].通讯世界,2014,(23):112-113.

[2]黄睦奇.电力二次系统安全防护策略研究[J].黑龙江科技信息,2014,(36):27-27.

[3]孙克建.电力二次系统安全防护策略研究[J].电子制作,2015,(6):239-239.

[4]卢山.浅谈电力二次系统的安全防护[J].企业技术开发(下半月),2013,32(12):101-102.

[5]崔恒志.电力二次系统安全防护策略研究[D].南京大学,2004.

篇6

关键词:电力二次系统;安全防护;策略

DOI:10.16640/ki.37-1222/t.2016.06.183

1 电力二次系统安全防护的运行

1.1 电力二次系统安全防护的运行现状

目前电力二次系统安全防护主要采取的四个方面措施分别为网络专用、安全分析、纵向认证和横向隔离。网络专用是根据不同的各个方面分工建立与之相对应的网络专区,来达到各个区域间的网络数据不相互干扰的效果。安全分析则是电力二次系统将系统用安全分析的方式惊醒分区,可以把对电力二次系统各个区域造成威胁的各种不安全因素阻隔。系统安全区是根据各个不同业务的具体情况和信息数据标准规划的。

纵向认证系统会较大提高认证用户的警觉意识和访问监控力度,强化系统的可靠性和安全性,进行信息系统的密码保护,同时确保系统里的数据实现安全交流和信息传输的监控。横向隔离则是经过规划系统中的各个安全区域在安全分析的过程中进行隔离,一般常用的隔离方式都是通过控制设备隔离各个区域。

1.2 电力二次系统安全防护的干扰因素

电力二次系统安全防护的干扰因素有很多,一般经常发生危险的地方在于通讯机房、继电保护室和监控系统。而在电力二次系统安全运行中主要存在的风险来源于窃听、旁路控制、木马攻击和黑客病毒、信息泄露、违法授权和非法使用等各种方面原因。一旦系统遭受到类似攻击就会使电站的大量设备出现故障,正常的运行失去控制,更严重还会使电力企业全部停电,暂停工作,从而看出这些干扰电力二次系统安全运行的风险因素不容忽视。

2 电力二次系统安全防护的技术

2.1 电力二次系统安全防护的技术实现

电力二次系统安全防护的技术的具体实现有四个方面。第一,启用严密的防火墙程序保护各个安全区,严格的控制和管理系统信息。第二,采取唯一的通道连接各个已规划完成的安全区,以取保其安全性。第三,管理各个安全区的主机,清理无关的USB的授权管理和各种软件。最后,启用备案审核模式,设定安全证书和网络安全协议,一定要保证进行相关的连接和操作的时候必须在受到系统信任的情况下进行。而且记录电力二次系统上所有的行为和操作,包括升级系统的动作,实施定期的安全评估。

2.2 电力二次系统安全防护的主要目标

因为有各种各样的干扰因素严重威胁着电力二次安全防护系统的安全运行,为了极力减少已经出现的风险或者避免发生风险对电力二次系统的影响,加强电力二次系统的安全防护工作已经迫在眉睫。强化电力二次系统安全防护工作的主要目的是在于提高运行系统的安全性,提高系统的保护防御能力,防止各种各样的事故和故障发生系统崩溃的情况。并且,要从根本上加强对电力二次系统的管理力度,才能使电力二次系统运行安全。

3 电力二次系统安全防护的策略

3.1 电力二次系统安全防护的必要性

电力二次系统是对一次系统进行控制、监测、保护的装置系统的总称,它有庞大的规模,以支撑其软硬件的运行,其价值的资产比较高。电力企业的运行安全依赖于电力二次系统,如果系统出现故障,会不同程度的影响电力企业的安全运行,情况严重的话有可能导致电力企业的大面积事故。近年来,随着网络技术的全面应用与深入发展,代码恶意攻击与黑客入侵电力二次系统的威胁也面临逐年增加的情况。这些恶意攻击严重影响了电力二次系统的安全正常运行,甚至使电力企业系统大面积瘫痪,危害十分巨大。当今社会发展电力企业是根本条件之一,电给各行各业提供着动力,人类文明的进步离不开电,安全稳定的运行电力企业系统是发展社会的重要基石。所以,支持电力工作在电力二次系统中稳定、安全的运行,得以看出建立电力二次系统安全防护体系的必要性。

3.2 电力二次系统安全防护的措施

强化网络安全的监控系统屏障。目前,电力二次系统的安全防护措施要保证其有效性,必须具有一定的网络监控系统安全屏障。如果想要强化网络监控系统安全屏障,可以智能的拦截不需要的服务,则需要在电力二次系统的隔离装置和监控装置上入手。加强监控装置的严密性和隔离装置的隔离性,防止系统内部进入不受信任和不安全的信息。这样避免了其在一定程度是受到的干扰因素的攻击。

集中控制网络隔离装置。可以使不必要的程序简化,双端修改程序的免除等措施体现出了集中控制网络隔离装置在电力二次系统安全防护工作的重要性。提高隔离装置的性能和加强安全筛选强度,简化双端修改程序可以减少一些多余的设定和测试工作,在电力操作系统中。集中控制隔离装置也可以使工作人员在管理和实时监控系统时更加方便,并且,还可以使系统的可靠安全性大幅度的提高。

监控网络的访问和存取。在系统中进行访问和存取网络是工作人员都会经过记录和监控。系统可以智能检测出所有的过程操作中的信息,行为是否有不恰当,信息的安全是否。并且,根据预设信息系统会自行判断,如果监控装置自动报警则说明系统的安全可能正存在威胁。

监控系统信息防止外泄,防止监控系统信息外泄,防止系统受到外部攻击。工作人员要加强修补系统漏洞和定期维护系统在电力二次系统的安全防护工作中。要反复不断的检查和关注才能防止外部的攻击,提高电力二次系统安全防护的防御性要仔细的分析和考虑每一个细小的安全隐患。

参考文献:

[1]杨丽.安全网关在电力二次系统安全防护中的应用研究[D].华北电力大学,2009.

篇7

关键词:电力二次系统;安全防护;现状;策略

中图分类号:TM73 文献标识码:A 文章编号:1006-8937(2013)18-0101-02

随着电子信息技术的不断发展和现代化进程的需要,我国各大电力企业在计算机网络上的应用已经被普及。而在技术不断提升的同时,我国的黑客技术也在不断攻击各系统的漏洞。一旦系统被木马和病毒攻击引起系统瘫痪,则会让电力企业丢失大量的数据信息,让各方面的工作无法有序进行。因此,加强和重视电力二次系统的安全防护管理工作已经成为了不少电力企业网络系统管理人员的工作重点。

1 电力二次系统安全防护工作的基本概述

1.1 干扰电力二次系统安全运行的因素

干扰电力二次系统安全的因素有很多,而风险频发的地点一般在于继电保护室、通讯机房和监控系统。在二次系统安全运行中存在的主要风险来自于旁路控制、窃听、黑客病毒和木马的攻击、非法使用、信息泄露以及违法授权等方面。这些风险对电力二次系统安全运行造成的干扰影响不可忽视,一旦系统遭到攻击则会让变电站的正常运行失控、大量设备故障,甚至会让全厂断电、停止工作。

1.2 二次系统安全防护的主要目标

由于各种各样的不安全因素对电力二次系统的安全运行产生着严重的威胁,为了避免风险的发生或者极力减少已出现风险对二次系统的干扰,对电力二次系统安全防护工作的强力进行已经迫在眉睫。其中安全防护工作的目的在于强化系统的防御保护能力,提高系统运行的安全性,防止各种故障和事故导致系统崩溃发生等。同时,这也意味着将从根本上提高对二次系统的管理力度,以维护电力二次系统的安全运行。

2 电力二次系统安全防护现状和技术

2.1 防护现状

电力二次系统安全防护目前主要采取的措施分别在于安全分析、网络专用、横向隔离以及纵向认证四个方面。

①安全分析和网络专用。为了防止各种不安全因素对电力二次系统各区域造成威胁,系统将用安全分析的方式将系统进行分区。对系统安全区的规划标准是根据不同业务和数据信息的具体状况,将系统大致分为生产控制和管理两大区域。网络专用方面根据各方面分工的不同分别建立其相应的网络专区,防止各区域间网络数据的相互干扰。

②横向隔离和纵向认证。横向隔离是将安全分析环节中经过系统规划的各安全区域进行隔离。常用的隔离手段一般都是通过设备控制,将各区域进行隔离。而在纵向认证方面,系统应大幅度提高访问监控和用户认证的警觉力度,对系统信息进行密码保护,让系统的安全可靠性得以被强化。同时,通过纵向认证的方式确保系统中数据和信息的传输和交流实现安全监控。

2.2 安全防护技术

电力二次系统的安全防护技术具体在以上四个方面体现。其中,在各个已规划的安全区之间采取唯一的连接通道,以保证其安全性。为各安全区启用严密的防火墙程序,严格管理和控制系统信息。实行审核备案模式,设定网络协议和安全证书,必须保证在受到系统信任的情况下才能进行相关的连接和操作。对各安全区的主机进行管理,无关软件的清除以及USB的授权管理。同时,在二次系统上所有的操作和行为包括对系统的升级等动作都将被记录,且定期实施安全评估。

3 电力二次系统安全防护策略

①强化监控系统的网络安全屏障。为了保证目前电力二次系统安全防护措施的有效性,强化监控系统的网络安全屏障具有一定的必要性。想要让监控系统的网络安全屏障功能得到强化、智能地拦截掉不必要的服务,则必须从二次系统的监控装置和隔离装置上入手。提高隔离装置的隔离性能和监控装置的严密性,禁止不安全和不受信任的信息通过其进入到系统内部。这在一定程度上避免了系统受到不安全因素的攻击。

②网络隔离装置集中控制。简化不必要的程序,免除双端修改程序等措施在电力二次系统安全防护工作上体现出了网络隔离装置集中控制的重要性。这样的措施即将把所有的安全任务都落实到隔离装置上,因此,隔离装置的性能和安全筛选强度上也都必须有相应的提高。简化双端程序将避免电力系统操作中一些多余的测试和设定工作,而将隔离装置进行集中控制也将更方便于工作人员对系统的实时监控和管理。同时,大幅度提升系统信息的安全可靠性。

③进行网络存取和访问的监控。所有工作人员在进行网络存取和访问时都会经过系统的监控和记录。在所有的操作过程中信息是否安全、是否有不恰当的行为都会受到系统的智能检测。同时,系统会根据预设信息自行判断,当系统安全可能受到威胁时将会监控装置将会自动报警。

④防止监控系统信息外泄。为了防止监控系统信息外漏,不为外部攻击创造条件。工作人员在电力二次系统安全防护管理工作过程中要加强对漏洞的修补和对系统的定期维护。只有在不断地反复的检查和关注下才能让外部攻击无计可趁,只有认真仔细地考虑好和分析出每一个可能留下安全隐患细小内容才能从整体上促进电力二次系统安全防御性能的提高。

4 结 语

综上所述,电力二次系统的安全防护管理工作主要在于对外攻击的防御,对系统不安全因素和信息的隔离、过滤,以及对系统内部信息的保密管理等。除了在二次系统安全防护工作中大量地应用最新的电子信息技术以外,为了保证系统信息的安全性,企业应该对内部信息管理人员进行慎重的把关。内部工作人员的职业素质和责任意识将是确保电力二次系统安全运行以及有效发挥防护技术性能的根本保障。

参考文献:

[1] 徐力.中山电力二次系统安全防护的应用研究[D].广州:华南理工大学,2011.

[2] 章政海.电厂二次系统安全防护总体设计研究[J].电力信息化,2013,(1).

篇8

关键词:电力系统;智能终端;安全挑战与风险;安全防护

0引言

为应对全球节能减排、能源综合利用效率提升的挑战,发展能源互联网成为推动后危机时代经济转型、发展低碳经济的重要手段[1]。能源互联网的建设使得现代电网向开放、互联、以用户为中心的方向发展,实现多类型能源开放互联、各种设备与系统开放对等接入。2019年,国家电网有限公司提出了“三型两网”的战略发展目标,在建设坚强智能电网的基础上,重点建设泛在电力物联网,以构建世界一流能源互联网。泛在电力物联网将充分应用移动互联、人工智能等现代信息技术和先进通信技术,实现电力系统各个环节万物互联、人机交互,打造电网状态全面感知、信息高效处理、应用便捷灵活的能力。泛在电力物联网的建设主要包括感知层、网络层、平台层、应用层4个部分,其中感知层重点实现终端标准化统一接入,以及通信、计算等资源共享,在源端实现数据融通和边缘智能。在此背景下,智能表计、新一代配电终端、源网荷友好互动终端、电动汽车充电桩等多类型电力系统智能终端在电网中得以广泛应用[2],成为连接电力骨干网络与电力一次系统、用户的第一道门户。电力系统智能终端作为能源互联中多网“融合控制”的纽带节点,实现了电网监测数据的“本地疏导”以及电网对外控制的“功能聚合”[3],其安全性直接关系到电网的安全稳定运行,研究电力系统智能终端的信息安全防护技术意义重大。

针对电力系统信息安全防护问题,自2002年起中国提出了以网络边界隔离保护为主的电力二次安全防护体系[4],有效保障了电力监控系统和电力调度数据网的安全稳定运行。电力二次安全防护体系制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略,重点强调了通过内网隔离保护的方式确保电力二次系统的安全防护[5],然而对新形势下电力系统智能终端的安全防护并未考虑。一方面,与传统信息安全相比,泛在电力物联网中各环节数亿规模终端具有异构与分散特性,后天标准化的终端自身安全防护理论与技术难以获得,如何兼顾实时性和安全性双重约束进行电力系统终端自身安全防护成为需要考虑的问题,电力系统智能终端自身安全性保证需求迫切。另一方面,随着泛在电力物联网建设推进,电力系统智能终端广泛采用无线传感网络等公共网络与电网主站系统进行通信[6],在电力二次安全防护体系隔离保护边界外形成具有泛在互联、开放共享特性的边缘计算网络。这必然会将网络攻击威胁传导至电力系统本体,使得因网络攻击造成的大停电风险陡增。

为应对以上安全威胁,2014年国家发改委和能源局了《电力监控系统安全防护规定》[7],要求电力生产控制大区设立安全接入区,对使用无线通信网等方式纵向接入生产控制大区的电力系统智能终端进行网络隔离。因此,在当前网络攻击手段呈现高级定制化、特征不确定化的严峻形势下,如何解决异构多样、数量庞大的电力系统智能终端边缘接入过程中的网络攻击实时监控发现和防渗透成为需要考虑的另外一项重要问题。

为此,本文围绕电力系统智能设备安全互联需求,首先分析电力系统智能终端业务特征和信息安全风险,明确电力系统智能终端信息安全防护特性;在此基础上,本文总结提出了电力系统智能终端信息安全防护面临的关键技术问题;然后,设计构建了覆盖芯片层、终端层、交互层的电力系统智能终端信息安全防护研究框架;最后,对电力系统智能终端信息安全防护关键技术进行了展望。

1电力系统智能终端信息安全风险

近年来网络空间安全事件频发,国家级、集团式网络安全威胁层出不穷[8-10]。电力等重要基础设施领域成为“网络战”的重点攻击目标之一,信息安全形势异常严峻[11]。2010年“震网”病毒事件中,西门子可编程逻辑控制器(PLC)终端受病毒攻击导致1000多台离心机损毁,使得核电站瘫痪。2015年乌克兰停电事件,以终端为攻击跳板瘫痪电力控制系统导致,成为全球首例公开报道的因黑客攻击导致大范围停电事件[12]。以上事件均表明,电力系统智能终端已成为攻击电网的重要目标和主要跳板[13],面临着严峻的信息安全风险。本文从信息安全防护的保密性、完整性、可用性3项重要目标角度出发[14-15],结合电力系统智能终端的组成结构和业务特征对信息安全风险进行分析,具体涉及芯片层、终端层、交互层3个方面,如图1所示。

1)芯片层:电力系统智能终端芯片自主可控性和安全性不足,在非受控环境下面临后门漏洞被利用风险。

2018年Intel芯片漏洞事件,爆出Intel芯片存在融毁漏洞以及幽灵漏洞,利用该漏洞进行攻击,可获取用户的账号密码、通信信息等隐私,智能终端均受波及,电力系统智能终端芯片同样面临漏洞、后门隐患的巨大问题。随着电力系统智能终端的开放性逐渐增强,与外界交互范围逐渐扩大,电力系统智能终端芯片安全性的不足逐渐凸显,主要表现在电力系统智能终端芯片自主可控程度低、芯片安全设计不足,导致当前电力系统智能终端存在“带病”运行,漏洞隐患易被攻击利用造成安全事件。为此,需要在芯片层面提高电力系统智能终端芯片的安全性,从芯片层面提高电网的安全防护能力。

2)终端层:异构电力系统智能终端计算环境安全保证不足,存在终端被恶意控制破坏的风险。

据数据统计表明,目前中国电网已部署各类型电力系统智能终端总数超4亿,规划至2030年接入各类保护、采集、控制终端设备数量将达到20亿。各类电力系统智能终端覆盖了电力“发电、输电、变电、配电、用电、调度”等各个环节,终端形态各异且业务逻辑差异巨大。终端复杂多样的嵌入式硬件计算环境、异构的软件应用环境和多类型私有通信协议等特性,使得其安全防护尚未形成统一标准。各类终端安全防护措施和水平亦参差不齐,在面对病毒、木马等网络攻击时整体安全防护能力薄弱。同时,电力系统智能终端在研发、生产、制造等环节无法避免的漏洞后门隐患也存在被攻击者利用的巨大安全风险。随着电力系统智能化水平的不断升级,各类型电力系统智能终端越来越多地承载了大量异构封闭、连续作业的电力生产运营应用,运行可靠性、实时性要求较高。电力系统智能终端一旦遭受恶意网络攻击,将可能导致终端生产监测信息采集失真,甚至造成终端误动作引发停电风险,传统事后响应型的终端被动防护技术无法满足电力安全防护的需要。因此,确保电力系统智能终端软硬件计算环境安全的标准化防护技术,以及事前防御型的主动防御技术研究需求迫切。

3)交互层:电力系统智能终端广泛互联互通导致网络开放性扩大,引入网络攻击渗透破坏风险。

泛在电力物联网的建设,其核心目标是将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务。以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。因此,泛在电力物联网环境下的电力系统智能终端将广泛采用电力无线专网、NB-IoT、北斗定位、IPv6和5G等无线、公共网络与电网主站系统进行通信,使得电力系统智能终端的通信交互形式将呈现数量大、层级多、分布广、种类杂等特点,极大地增加了遭受网络攻击的暴露面。无论是电力系统智能终端,还是主站电力系统,被网络攻击渗透破坏的风险均进一步增大。在当前网络空间安全异常严峻的形势下,新型网络攻击手段不断衍变衍生,呈高级、定制化、持续性发展,尤其是面向工控环境的攻击更具有高度定制化、危害大的特点,使得电力系统智能终端通信交互过程中面临着新型网络攻击被动处置的局面。例如在乌克兰停电事件中,黑客通过欺骗电力公司员工信任、植入木马、后门连接等方式,绕过认证机制,对乌克兰境内3处变电站的数据采集与监控(SCADA)系统发起攻击,删除磁盘所有文件,造成7个110kV和23个35kV变电站发生故障,从而导致该地区发生大面积停电事件。

综上可知,电力系统智能终端面临的芯片层、终端层信息安全风险主要由终端芯片、计算环境安全性不可控和漏洞被利用等原因造成,可归纳为终端“自身安全”问题。交互层信息安全风险产生的原因主要为电力系统智能终端在互联接入过程中存在被渗透攻击可能性造成的,可归纳为“攻击防御”问题。

2电力系统智能终端信息安全防护技术问题剖析

为了解决电力系统智能终端“自身安全”和“攻击防御”问题,国内外学者开展了诸多信息安全防护技术研究,主要从传统信息安全的角度探索密码技术在终端自身数据保护、通信协议安全、安全接入传输方面的应用[16]。然而,受制于当前中国的芯片自主可控水平限制,以及电力系统智能终端异构多样的复杂计算环境和高安全、高实时运行特性限制,加之网络攻击特征不确定的混合约束,电力系统智能终端的整体安全防护尚存在待突破的技术问题,具体如下。

1)技术问题1:覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题。

根据安全风险分析可知,解决电力系统智能终端“自身安全”问题,必须实现芯片安全和终端计算环境安全。

在电力系统智能终端芯片层,面临的安全隐患表现为芯片各层次防护理论和技术无法满足安全需求。然而,当前电力系统智能终端采用了大量先进工艺条件制造的芯片,此类芯片主要由国外掌控,自主可控程度很低,其安全性保障技术更是存在空白。随着中国自主先进芯片技术发展,电力系统智能终端芯片在实现自主可控的同时应充分考虑芯片的安全防护,同步设计、同步发展。首先需从芯片设计理论的安全建模方面进行技术突破,确保理论层面的可证明安全。其次,应突破电路级、CPU内核以及片上内嵌入式操作系统等芯片核心组件的安全防护技术,从而构建芯片全通路安全防护技术体系。在电力系统智能终端计算环境安全方面,由于电力系统智能终端异构多样、资源受限、长期运行,传统终端被动式、个性化安全技术无法适用。因此需开展结合芯片层面的终端安全技术研究,构建适用于电力系统智能终端不同硬件架构、不同系统环境、不同应用环境的标准化安全防护框架,且能够在网络安全事件发生前、发生时确保终端计算环境的安全性和完整性,最终形成电力系统智能终端的普适性主动免疫技术体系。

2)技术问题2:攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断问题。

解决电力系统智能终端“攻击防御”问题,重点需突破电力系统终端远程接入交互过程中的攻击监测和防渗透技术。然而,电力系统智能终端点多面广、业务系统专业性强、互联网络组成复杂度高,且三者间相互耦合,而针对电力系统的网络攻击呈现定制化、隐蔽化和高级化等特点,难以清晰描述基于零日漏洞的高级持续性网络攻击的机理和特征,不同电力系统智能终端、系统、网络在攻击下的表现不一,因此无法单一根据攻击特征进行识别和阻断。传统监测手段缺少对电力业务场景的安全建模,监测数据源仅涉及CPU内存等基础资源状态和基础网络流量,未面向电网业务流、专用协议和应用特征进行深度监控与分析,难以精确、深入地感知电力系统智能终端系统安全状态,需要探索终端安全精确感知与攻击阻断技术。同时,在电力设备广泛互联后,边缘侧安全防护能力不足,需突破混合电力业务可信边缘接入与多级安全隔离技术。

3电力系统智能终端信息安全防护技术研究思路

针对电力系统智能设备安全互联的需求,以解决电力系统智能终端“自身安全”和“攻击防御”问题为核心,本文提出了覆盖“芯片层、终端层、交互层”的3层安全防护研究脉络,构建电力系统智能终端安全防护技术研究模型,如图2所示。

具体来说,首先需解决“覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题”,从芯片层安全和终端层安全开展关键技术研究,以确保电力系统智能终端自身安全。在芯片层,需开展芯片电路级安全、专用CPU内核、片上内嵌入式操作系统安全等3方面技术研究,为电力系统智能终端计算环境安全提供满足安全性、实时性要求的电力专用芯片,为终端主动免疫能力构建提供基础。在终端层,需从终端计算环境安全、应用安全、通信安全角度,重点研究具有主动免疫能力的电力系统智能终端内嵌入式组件和控制单元技术,并研制具备主动免疫能力的电力嵌入式组件、控制单元和终端。芯片层研究和终端层研究的成果共同解决终端主动免疫问题;同时,终端层将为交互层提供终端安全监测数据,并向交互层终端边缘接入防护提供业务场景和接入需求。

在此基础上,为解决“攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断”的问题,需从交互层安全开展关键技术研究以确保外部攻击防御。具体来说,面向主动免疫终端的互联应用场景,研究提供网络监控防御和安全交互保障技术;从终端状态感知、攻击识别、威胁阻断等3个监控与防渗透必要环节,研究终端、业务、网络多维融合状态感知、关联电力业务逻辑的深度攻击识别、终端网络联动的威胁阻断技术,实现终端安全威胁精确感知与阻断,为电力系统智能终端提供网络攻击防渗透决策控制服务。同时,研究电力系统智能终端的统一边缘接入场景安全防护,为终端的边缘接入安全、数据安全和隔离保护提供技术支撑,为具有自免疫能力的电力系统智能终端的边缘接入提供安全传输通道。

4电力系统智能终端信息安全防护关键技术

下文将从芯片层、终端层、交互层等3个方面对电力系统智能终端安全防护需突破的关键技术展开阐述。

1)芯片层安全防护关键技术:芯片电路级可证明安全防护技术和内核故障自修复技术。

针对复杂环境、先进工艺条件以及新型攻击模型带来的一系列芯片安全问题,研究覆盖电路级、CPU内核以及嵌入式操作系统的具有完全自主知识产权的电力芯片安全技术[17]。满足电力系统终端对电力专用芯片的高安全、高可靠、高实时性要求。

首先需要进行芯片级安全防护理论研究,针对集成电路器件的信息泄露产生源问题[18],具体理论研究方法为:研究先进工艺下电流、光、热等物理信息的产生机理[19],掌握其内在物理特性和工艺间的关系;分析芯片电路元件的组合物理特性,以及多元并行数据在信息泄露上的相互影响;在芯片内部特征差异和外部噪声环境下,研究先进工艺下电力专用芯片物理信息泄露的精准建模方法,构建普适性物理信息泄露模型;研究可证明安全的泄露信息掩码、隐藏技术以及抵御高阶分析和模式类分析的防护技术,提升芯片安全设计理论与方法;研究层次化芯片安全防御体系架构。通过研究芯片运行电磁环境监测、运行状态监测、多源故障检测技术,实现芯片的环境监测和内部监测。研究CPU指令流加密和签名、平衡电路构建、数字真随机数电路等技术,实现芯片内部数据的存储加密、总线扰动、电路掩码。提出可证明安全的自主知识产权芯片电路级防护方法,满足电力专用芯片的高安全要求。

在理论研究基础上,需基于可证明安全的芯片电路级防护方法进行芯片电路级防护实现技术研究。首先,基于自主知识产权的CPU架构,研发带有高安全、高可靠特性的CPU内核,并对以上技术进行仿真验证,研究形成CPU内核故障自修复技术,满足电力专用芯片的高可靠性要求;然后,确定仿真验证可行性,并采用以上关键技术研制低功耗、高速特性的电力专用芯片,开发适用于电力应用的片上内嵌入式操作系统,满足电力专用芯片的高实时性要求。

最后,对研制的电力专用芯片和内嵌入式操作系统进行全套模拟测试,以确定满足后续电力智能终端的开发应用。通过芯片层安全研究方法确保电力专用芯片满足安全防护要求,实现功耗电磁隐藏、数据命令掩码、电路屏蔽,以抵御模板攻击、电磁注入攻击等新型信道攻击、故障攻击、侵入式攻击。具体研究框架如图3所示。

2)终端层安全防护关键技术:融合可信计算和业务安全的异构智能终端主动免疫技术。

针对电力智能终端异构、资源受限条件带来的终端易被恶意控制和破坏的风险,提出研究融合可信计算和业务安全的异构智能终端主动免疫技术。首先,根据电力多场景业务应用情况,分析各类电力系统智能终端的安全防护需求,提取异构智能终端的主动免疫需求特征;然后,根据异构终端的主动免疫需求特征,研究建立适应电力系统智能终端的普适性主动免疫安全架构。①在硬件安全架构技术研究方面,针对电力终端特性研究基于电力专用芯片的电力终端可信根[20],实现对电力终端操作系统、业务应用程序的可信量度,保证终端状态的可信[21-22];设计以可信根为基础、以嵌入式微控制单元(MCU)为应用的终端可信逻辑硬件架构,研究端口安全访问机制和接口驱动安全机制,实现终端的主动免疫能力。②在软件架构技术研究方面,针对电力终端在数据交互、访问机制、检查机制、审计机制方面存在的漏洞,研究数据安全保护机制[23],保证各个应用和各部分数据的独立安全;研究满足电力系统需求的安全访问控制机制,外层访问和软件平台之间的安全检查机制;研究适应外层、软件平台访问的安全访问审计机制。

在电力系统智能终端普适性主动免疫安全架构基础上,为实现终端计算环境安全、业务应用安全和对外通信安全,提升多种场景下异构电力系统智能终端的安全防护能力。需开展系统安全访问、数据安全保护、信任链构建、可信量度与可信管理、可信证明与可信证据收集、数据安全交互、核心功能保护、快速恢复及通信完整性保护等方面的关键技术研究,建立适应电力系统异构终端的普适性主动免疫体系。具体研究框架如图4所示。

3)交互层安全防护关键技术一:面向不确定攻击特征的终端威胁精确感知与阻断技术。

针对电力终端接入和互联过程中的攻击监测、异常处理与安全防护需求存在的问题,研究基于“异常监测—阻断响应—安全防护”的交互层安全技术。

首先,研究多级分布式监测与防渗透架构,构建监测布点机制和终端防渗透模型:①针对典型电力终端业务场景,分析不同场景的脆弱性和安全威胁,研究基于业务场景的终端网络渗透路径;②对终端系统中已有的安全防御措施进行建模;③综合防御模型与终端网络渗透路径,形成不同业务场景的监控与防渗透模型。

其次,针对网络渗透攻击特征的不确定性,需研究终端、业务、网络多维融合安全状态建模与感知方法,建立各维度安全状态基准,采用异常特征抽取技术获取各类攻击和异常特征的映射关系,反向推导可能发生的渗透攻击,实现异常识别。在终端安全状态感知方面,需分析多源异构嵌入式电力智能终端硬件资源、可信模块、配置文件、关键进程等运行状态特征,构建面向终端状态异常行为的分类和诊断模型,实现对多源异构终端的有效异常感知。在业务安全状态感知方面,开展基于协议深度分析的业务异常感知的研究。分析电力协议的格式规范、业务指令特征和操作逻辑,对协议进行深度解析并提取指令级特征[24];分析单一数据报文的合规性,识别畸形报文;分析组合数据报文,还原业务操作行为,实现对违规行为的异常感知。在网络安全状态感知方面,从通信路径、通信频率、流量大小、流量类型等多维角度分析电力终端流量特征[25],并融合归一化处理,以自学习的方式确定行为基线,实现流量异常识别。

在此基础上,针对电力系统遭受渗透攻击后的准确有效响应需求,结合各类电力系统业务场景,研究基于特征提取和模式识别的攻击关联分析方法,构建概率关联模型和因果关联模型,对攻击特征进行关联分析[26],作为攻击识别技术的支撑基础。对具有较显著特征的攻击行为,构建多模式快速匹配模型,实现攻击的快速匹配识别,对特征相对不很显著的复杂攻击行为,利用机器学习,实现攻击的有效检测。

最后需研究防渗透策略管理和隔离阻断技术,形成网络和终端设备的策略下发、执行和优化等综合管理方法;对于被入侵的高风险终端,产生终端隔离策略或网络阻断策略,对于受影响终端,生成风险规避策略。并需要研究策略优化、冲突检测、冲突消除算法,实现融合“终端隔离”与“网络阻断”的多层协同防御策略,最终基于攻击危害评估的隔离阻断技术实现攻击的抵御和消解。具体研究框架如图5所示。

4)交互层安全防护关键技术二:电力系统智能终端互联场景下终端边缘安全接入和混合业务隔离保护技术。

首先研究电力系统智能终端边缘接入体系架构和安全防护体系,为电力监控系统、智慧能源系统、能源计量系统的终端互联安全提供基础支撑。

在此基础上,针对电力系统智能终端互联、混合业务统一接入场景下,海量多样化终端的合法快速接入认证问题,需采用分布式授权接入控制、轻量级验签等方法,研究快速接入认证技术;在轻量级公钥、私钥研究的基础上,提出轻量级签名算法以及公钥对生成算法[27],通过软硬件结合方式构建轻量级的验签体系,支撑系统的实时验签处理。实现终端分布式授权和高速安全接入认证。同时,需针对不同边缘侧业务、环境、时间、跨度,实现不同安全需求的边缘侧认证授权技术,即在知识库、规则库构建的基础上,基于自学习方法构建完整的电力系统边缘计算认证因子体系[28],实现多种认证因子共存的“白名单”最小化授权认证。

针对边缘接入过程中的数据安全防护问题,需研究轻量级密钥更新和数据安全处理与质量保障技术,实现全实时数据安全防护。首先设计密钥管理、协商、更新机制,重点研究混合业务分级分类安全存储、高速接入场景动态协调存储方法,满足数据高速增量存储。在此基础上,研究高性能的安全多方计算方法,实现实时数据流的安全、高速处理和隐私保护,在计算能力和带宽约束条件下解决数据篡改、数据失真等安全问题,并在边缘计算能力和带宽约束条件下实现数据清洗、融合、治理,定量化提升数据质量。

最后针对多业务互联过程中的业务隔离困难的问题[29],需结合资源虚拟化调度和切片技术,研究多业务安全隔离技术,选择合适的切片粒度和生命周期,平衡切片的灵活性和复杂性,实现多业务共享资源的切片式安全隔离,支持混合业务可信敏捷接入与多级安全隔离。同时为了确保业务连续性不受影响,充分利用不同通道的优势,需采用通道切换的方法进行多模通道自动倒换,实现通道使用优化,提高业务接入和备份能力,确保业务状态不中断。具体研究框架如图6所示。

5电力系统智能终端信息安全防护能力测试验证技术

电力系统智能终端信息安全防护需要多方面的关键技术,目前国内外尚无适用于电力系统智能终端业务环境的安全性测评验证技术。本文尝试从安全防护技术集成优化、实验室测试验证、多业务综合试验验证等3个方面,对电力系统智能终端信息安全防护技术有效性进行分析和展望。

1)安全防护关键技术集成优化。电力系统智能终端安全防护涉及了芯片层、终端层、交互层3个方面,相关技术在应用过程中需兼容电力不同业务系统应用场景、防护要求及措施的差异。同时,需要兼顾与各业务系统在功能模型、性能指标、安全策略等方面的匹配性,考虑与已有防护策略的优化集成应用需求,以支撑芯片层—终端层—交互层安全防护技术的整体研发与应用。

2)安全性实验室测试验证。为满足电力系统智能终端信息安全防护技术有效性验证需求,需基于电力业务系统运行场景模拟,研究安全防护能力的实验室测试技术,构建终端安全性检验测试平台,实现安全功能符合性、穿透性测试。此外,需研究考虑不同攻击密度、攻击特征及目标定位的攻击用例,构建安全攻防验证平台,实现主动免疫电力系统智能终端及安全监测与防渗透系统安全功能的有效性测试。

3)安全性综合验证评估。综合考虑实际业务环境中的负荷特点、供电可靠性要求等因素,在安全防护技术应用到生产环境后,为对相关安全技术有效性以及业务影响性进行测评验证。需考虑通过红队攻击和专家组验证等方式,采用终端自身攻击、纵向通信攻击、主站下行攻击等方式,验证主动免疫电力终端、终端安全监测与防渗透系统、边缘计算安全接入设备的安全功能有效性,并评估对业务系统实时性、正确性、可靠性等方面的影响及对现有防护体系的提升能力。

篇9

关键词:电力调度;自动化;网络安全;问题

中图分类号:TM76 文献标识码:A 文章编号:1671-2064(2017)09-0183-01

随着现代科学技术的飞速发展,电力调度自动化系统网络安全隐患已日益突出,这就要求我们电力部门要对此认真对待,深入研究,及时采取安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。

1 网络信息安全的的五个层面

网络信息的在网络信息的世界里面,我们所认为的安全一般包括物理安全、网络安全等其他五个方面。而所谓自动化的安全防护体系也应该包括上面五层内容,下面让我们对每个概念进行解释。

网络安全中的物理安全主要涉及主机内部的硬件和整体线路安全两个方面的问题。硬件出现故障、突如其来的自然灾害造成硬件被损坏和硬件被偷窃等等,此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。

操作系统的安全是网络信息安全中的又一个部分,这里面包括系统授权设置,对账号本身进行设置和设置安全问题等等。像秘密泄露、用户被拒绝和未经授权就实施存取操作等等,这些都会损害操作系统的完整性和安全性。而网络信息安全中所指的应用安全指的是应用软件的安全。如Web服务器、Proxy服务器、数据库等的安全问题。

人员管理是指如何防止内部人员对网络和系统的攻击及误用等。

2 电力调度自动化系统存在的安全问题

2.1 系统本身存在问题

很多时候,网络系统本身也会存在很多方面的问题。第一,工作人员的疏忽没有给系统进行及时的升级和下载补丁进行加固,致使出现很多漏洞。第二,没有对网络本身的结构及时进行调整,导致防火墙的设置出现问题,网络安全也出现了种种问题。第三,类似与Telnet这样的协议没有及时关闭,导致自动化采集到了错误的数据,会影响后续的控制,发电厂的操作就会失误频发,电网的安全运行受到影响。

2.2 用户安全意识与安全防护体系存在问题

现阶段,多数的电网调度系统采用的还是自动拨号进入外网的方式,这会让我们整体的系统处于非常不安全的状态下。再加上很多用户会出现操作错误,很多人员在维护过程中也会造成诸多程序上面的错误,这都会影响系统的正常运行。另外系统的口令长时间不做更改,或者本身设置的太过简单,这都增加了其泄密的风险。安全制度、系统安全管理和安全技术的不到位和安全防护意识的薄弱都会让系统整体的安全性大打折扣。

2.3 没有完善的管理制度

很多电力企业没有制定好到位的管理制度,或者由于内部管理松散,就会产生很多问题。就整个网络系统而言,内部的网络和外部的网络没有被充分地隔离,当外网发生事故的时候就会影响到内网。而很多电力企业的网络管理的制度不是很完善和健全,导致问题频频出现。如果遇到居心不良的人用非法的手段攻击整个网络系统的时候,那么电力网络就会首先遭受到冲击,其产生的严重后果是不可想象的。

3 提高电力调度自动化中的网络安全措施

3.1 提高电力企业人员的综合素质

在维护电力网络安全的过程中,电力企业人员自身的素质发挥着重大的作用,只有人员自身掌握着扎实的专业技术,才能够维护整体网络的安全运行。与此同时,电力企业的人员的综合职业素养也很重要。其实增强网络安全,我们都要从点滴的自身行为做起,企业本身可以开展对人员的专业培训,让电力企业的员工对工作中会碰到的种种问题做到心中有数,同时可以开展知识竞答问题的讨论。只有电力企业人员本身素质提高了,才能从根本上杜绝网络安全隐患的存在,才能为网络安全问题提供正确的解决方法。

3.2 规划数据网络技术体制及电力系统安全防护体系

在维护整个电力系统网络安全的过程中,我们也要对整个数据网络的技术进行规划。现在,我国绝大部分地区的电力系统都采用的是SDH+IP和光纤结合的模式,两种模式兼容可以让数据传输更快,也能够让整体的环境更加安全。整体来看,还有包括可以实现数据实时传输,传输更加高效和传输更加稳定这两方面的优点。在这一模式下,可以实现不同IP应用业务进行物理隔离加强远方控制的可靠性。针对安全防护设备应按照“安全分区,网络专用,横向隔离,纵向认证”十六字方针政策进行部署:

安全分区:全部完成安全分区的划分,不存在跨区直接互联的情况。在安全Ⅰ区和Ⅱ区之间、安全Ⅲ区和Ⅳ区之间分别部署防火墙,严格访问控制策略并记录。

网络专用:调度数据网建设覆盖至供电企业所属所有变电站,保证调度生产业务的专网专用,满足网络专用的技术要求,其中骨干网中网络设备的国产化率达到100%以上。

横向隔离:在生产控制大区和管理信息大区之间部署专用的物理隔离装置。配网自动化系统部署正、反向隔离装置。隔离装置全部采用国产化设备,所有产品都经过指定单位及电力监控系统安全防护专家组的检测。

纵向认证:供电企业所属变电站全部部署双套纵向加密装置且接入到安全监控平台,确保平台接入率100%,及时分析处理监控平台告警事项。

3.3 完善管理制度

管理制度的完善和网络安全本身也有着很大的关系。第一,我们要聘请有专业的职业素养和专业技能的人员对整体网络安全进行维护,如果有专门的人员对网络安全进行测试的话,那么我们维护网络安全的道路将会更加顺畅。第二,我们要让专业的人员对设备进行管理,落实责任到人的制度。第三,我们要在平时居安思危,对于可能发生的任何安全问题做好应急预案,这样一旦出现问题,我们才可以尽可能地游刃有余,把损失降到最低。

3.4 加强技术管理和软件管理

广大电力企业如果想要提升电力调度网络管理的安全性的话,可以从以下几个方面着手。第一,将整个电力网络系统进行划分,必要的时候可以采取像加密通信等技术,这样可以有效地把电力系统网络与外界隔离。第二,相关人员品时要将重要的网络数据进行备份,这样一方面可以防止数据突然丢失造成的不便,另外一方面还可以有很好的保护作用。第三,网络系统中一般都存在着调度人员,在使用调度软件的时候,一定要按照相关的规定进行操作。不同岗位上的人员的权限是不同的,这一点我们大家一定要注意。

4 Y语

确保网络安全,需要多种网络安全技术相结合,形成完整有效的网络安全防护体系。同时,紧靠网络安全技术构成的网络安全防护体系是不够的,还要健全完善网络的安全管理制度,形成技术与管理双管齐下。因此电力企业要从人员、技术和设备等方面实现电力调度自动化系统的网络安全,促进电力企业的健康和可持续发展。

参考文献

[1]金田.电力调度自动化网络安全与实现[J].科技风,2014,24:64.

篇10

电力系统在国民经济中的影响与日俱增,人们的日常生活已经与电力紧密相连,任何一处的电力系统的发生不稳定现象都将对该范围人们的生产生活产生重大的影响。伴随着信息技术的出现,电力监控系统逐步转化为分布式监控,每部分地区发生电力系统的不安全、不稳定现象,都能通过该系统进行监控,进而在最短时间内解决问题。随着电网规模的扩大、电力需求度的急速增长,各行业对电力系统的各方要求越来越高。信息技术的出现可以很好地对电网整体情形进行高效地控制,相比以往的配人值守等方式,准确性与安全性得到了很大的提高。利于信息技术可以把电力系统中分布遥远的发电厂、调度中心以及变电站等子系统紧密有序地联系起来,使电力系统的整体性更加稳定。信息化程度的深化,可以将电力中的调度业务和市场业务升级到因特网层面上,使业务处理显得更加灵活有序。然而,信息化技术的深入在充分提高电力效率、保持系统性能稳定等作出巨大贡献的同时,也对电网的系统网络安全产生了一定的影响。因此,本文以电力信息系统中的网络与信息安全防护为对象,全面分析电力信息系统安全风险及需求,提出了电力信息系统安全防护方案和改进措施。

2电力信息系统安全体系现状

电力系统是一个与社会稳定、人民生活息息相关的复杂体系,保证期安全、稳定地运行是保证国民经济正常运行的基础。做好安全防护工作的内容通常包括以下几个方面,例如信息安全管理策略的运行、信息安全体系总体框架的建立、信息安全技术方案的研究及实施、总系统下的各有关子系统的安全故障排除等方面。2003年,电力信息网络的安全运行被国家电网正式纳入电力安全生产管理范畴,电力系统信息安全同时也被国家科技部列入国家信息安全示范工程之一,可见电力系统的网络安全问题也由此被相关部门所重视。2008年是电力系统经受了重重考验的时期,例如年初的雨雪冰冻灾害、5月发生了汶川大地震、8月举办了北京奥运会和残奥会等等。即使我国加大了在电网的现代化建设中引入信息化技术,但我国对电力系统安全性的研究相对而言尚处于发展探索阶段。电力系统的信息化现状主要体现在以下几个方面:

2.1初步完成了信息化基础设施建设

信息技术在电力系统中广泛应用的背景下,我国初步完成了信息化电力系统的基础设施建设,同时,电力系统的各个子系统的管理水平得到了很大的提高,包括发电生产管理信息化水平、电网管理水平、企业管理水平等。电力信息基础设施的广泛建设,使得信息技术得到了飞速发展。以电力通信网为基础的调度数据网络系统、信息网络系统等已经初步形成,为电力的高效管理奠定了坚实的基础。信息技术的深入发展使得电力通信网已发展成为集光纤、卫星、数字微波等手段为一体的电力信息网络系统,覆盖了包括发电、输电、配电等多个环节。

2.2独立自主地坚持了创新之路

纵观国内外电力系统信息化的发展历史,可以发现我国的电力系统信息化水平已经处于高速发展阶段。通过技术引进和自主开发,配电系统自动化领域总体达到国际先进水平,一些国际领先的、独立的研究的能源管理系统和其他关键控制系统已在电力电网调度系统中得到了广泛地应用。其中,SG186等多个应用系统平台、电力信息安全专用装置在开发完成之后,已经投入到实际运行当中,产生了巨大的经济效益。由此可见,我国在电力行业信息产业道路上取得了丰硕的成果。

2.3信息安全技术取得了重大突破

由于电力系统逐步升级为自动化管理,信息在处理过程容易发生偏差,造成各种损失,因此,我国在信息安全方面加大了投入。经过多年的研究探索,电力信息安全取得了很大的进展,主要体现在以下几个方面:(1)基本完成了第一批电力企业信息系统的安全防护工作。(2)开展了以网络安全为主的电力行业信息安全的基础性工作。(3)初步建立了有关电力行业信息安全的法律法规,使信息安全逐渐变得合法化、规范化。(4)建立了电力行业网络与信息安全的管理制度,完善了信息安全责任体制。

3电力系统信息安全的有关防护方案

由于信息系统安全是一个复杂的系统工程,且电力处于国民经济产业中的重要位置,更应系统地、全面地进行分析和把握,从全局角度加以设计和实施。按照安全风险类别及安全建设原则,电力信息系统的安全防护方案大致可分为以下几个方面:数据安全、系统安全、网络安全、物理安全等四个方面。

3.1数据安全

数据安全的核心工作是做好数据的安全存储、信息鉴定、安全传输等三方面内容。信息安全存储是要保证企业业务安全运行的关键,日常生活中最安全、最有效的方法就是采用数据备份,一旦发生操作系统瘫痪、或者数据库系统的数据丢失等情形,备份的数据可以及时弥补。数据在传输过程中容易发生被非法窃取、篡改等威胁,信息鉴定技术可以保证数据完整。由于电力系统在国民经济生活中起着重要作用,因而其传输的都是重要信息,实际操作中可以结合传输加密技术实现数据的机密性。最后,信息传输安全主要指的是为了保护数据信息传输过程的安全。

3.2系统安全

系统安全方案设计中主要包括安全评估、病毒防护、操作系统安全等三方面内容:(1)安全评估是为了减轻因系统的安全漏洞而导致的黑客攻击,安全评估系统可以有效地对系统进行扫描,搜索并修补安全漏洞,增强系统对网络攻击的防护能力。(2)病毒防护必须通过防病毒系统来实现。一个完整的防毒系统应该包含从网络、服务器、应用平台到桌面的多级结构,此种体系下才能有效地防治病毒,从而保证整个体系范围内病毒防护体系的有效性和完整性。(3)由于操作系统是整个安全系统的核心控制部位,因此要应该行之有效地进行防护,尽量采用安全性较高的操作系统,关闭存在安全隐患的程序和文件,严格限制用户使用权限,及时修补系统安全漏洞。

3.3网络安全

网络安全方案设计中应该主要注意安全检测和网络结构安全两个方面:(1)作为防火墙的合理补充,安全检测须在内部核心部位配备入侵检测系统,以对抗来自系统系统内部和外部透过防火墙的各种攻击,在入侵检测系统和防火墙的共同作用下,可有效地减小系统的损害程度。(2)网络结构布局的合理布置也影响着网络的安全性。对于电力系统内部的各种联系,例如办公网络、业务网络和外单位互联网等接口之间应该设置保密程序,避免安全系数较低的其他网络对其构成威胁。

3.4物理安全

一般意义上的物理安全主要指的是环境安全、设备安全、媒介安全等三个方面:(1)应注意环境安全保护,以确保电力系统的信息设备不因环境问题而出现故障。(2)加强设备的安全保护,防止发生设备被盗、损毁现象,也要限制设备防护人员的数量,限制设备出现损毁的客观条件。(3)媒介安全方案的设计主要是加强场地基础设施建设,严格制止信息通过辐射、线路截获等方式造成泄露。

4电力系统信息化过程中的安全防护措施

4.1加强安全管理

除了电力网络系统自身的不稳定因素外,内部的人为因素也占有很大比例。因此,加强内部的安全管理可减少人为风险的产生。具体措施如下:(1)适时进行安全教育。安全知识和相关技能的教育是企业安全生产的保证,各个从业人员须了解并严格执行企业安全策略,并且防止重技术轻管理的倾向,加强对人员的管理和培训,否则无法建立一个真正安全的网络信息系统。(2)建立安全管理制度。电力行业中,管理的各方面主要包括人员管理、机房管理、设备管理、技术资料管理、操作管理、应急事件管理、开发与维护管理等。(3)完善安全技术规范。主要包括信息维护、数据保护、软件安全开发、数据备份规范等,保证后续电力信息系统的开发安全。(4)建立安全保证体系。其中明确各有关部门的工作职责,包括落实责任制,实行信息安全责任追究制度。

4.2加强防护措施

基于电力系统信息技术的防护措施应立足于风险可能发生的部位。主要包括以下几个方面:(1)加强数据防御,即保证数据在存储、使用过程中的完整性,同时也要保证系统出现意外故障时数据依然能够及时恢复。(2)完善系统自身物理防御,包括主机防御和边界防御,主要指的是对系统漏洞进行扫描、对主机加固,利用防火墙等安全设备来保护网络入口点等。(3)增强应用防御,因为应用程序中完整的应用开发安全规范可以实时控制应用程序的各种功能,在此基础上生产的产品可消除已知安全漏洞,因而风险最低。以上几项措施的核心技术体现在以下几点:(1)物理隔离。主要用于电力信息网不同区之间的隔离,由于其隐蔽性,使得该系统不易遭受攻击。(2)数据备份。电力企业的数据需经常进行备份,建立企业数据备份中心,制定详尽的应用数据备份预案,从而保证信息系统的可用性和可靠性。(3)网络防火墙。防火墙是用于将信任网络与非信任网络隔离的一种技术,它可以阻断攻击破坏行为,分权限合理享用信息资源。

5结束语